Probleme suite à une detection de rootkit • page 2

[Loubs]

Voilà le dernier log HJT :

Logfile of HijackThis v1.99.1
Scan saved at 14:50:58, on 05/06/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWS.000System32smss.exe
C:WINDOWS.000system32winlogon.exe
C:WINDOWS.000system32services.exe
C:WINDOWS.000system32lsass.exe
C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
C:WINDOWS.000System32driversCDAC11BA.EXE
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
C:Program FilesNeroNero 7InCDInCDsrv.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWS.000system32ssoftsrv.exe
C:WINDOWS.000Explorer.EXE
C:Program FilesNeroNero 7InCDInCD.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
K:utilitairessystemehijackthis_199HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.orange.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_03inssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS.000System32msdxm.ocx
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesFichiers communsAheadLibNeroCheck.exe
O4 - HKLM..Run: [InCD] C:Program FilesNeroNero 7InCDInCD.exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [Hidserv] Hidserv.exe run
O4 - HKLM..Run: [avgnt] "C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:Program FilesFichiers communsAheadLibNMBgMonitor.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:Program FilesFichiers communsMicrosoft SharedReference 2001EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWS.000web elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWS.000web elated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:WINDOWS.000System32shdocvw.dll
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:WINDOWS.000System32shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - https://didagora.esc-rennes.fr/qp2.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gwennlouboutin.spaces.msn.com/Ph ... 10,0,912,0
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2663808e701 ... 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9843444963
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLMSystemCCSServicesTcpip..{775EB5A0-D50B-424A-94A0-F8A1D1F50212}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:WINDOWS.000Microsoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:WINDOWS.000System32driversCDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesNeroNero 7InCDInCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:WINDOWS.000SYSTEM32ssoftsrv.exe




Le copier/coller refonctionne (j'ai fais executer -> clipbrd)
Sophos n'a rien trouvé, spybot n'a trouvé que des cookies, et j'ai eu un probleme avec l'instalation de ad-aware (message d'erreur approximatif : service d'instalation de windows ne fonctionne pas)

Sinon pour le SP2, les mises à jours automatiques ne m'ont jamais proposé ça, mon PC date de 99, c'est un pentium 2, 196 de RAM.

[r@in | b0w]

Re.

Le copier/coller refonctionne (j'ai fais executer -> clipbrd)

Déjà une bonne nouvelle.

j'ai eu un probleme avec l'instalation de ad-aware (message d'erreur approximatif : service d'instalation de windows ne fonctionne pas)

Tu fais l'installation en Mode sans échec et cela suffira.

Sinon pour le SP2, les mises à jours automatiques ne m'ont jamais proposé ça, mon PC date de 99, c'est un pentium 2, 196 de RAM.

Le SP2 fait parti des MAJ automatiques de Windows, va faire un tour sur windowsupdate.microsoft.com/ et tu verras ce qu'il te dit.

Ps: regardes en cliquant droit sur Poste de travail puis Propriétés ce qui est indiqué.

[Loubs]

Voilà mais c'est ce que j'avais fait :



Le copier/coller ne fonctionne déjà plus... Et ça empire encore je crois, mon bureau disparati et je suis obligé de redémarrer

[H3bus]

Il vaut mieux que tu fasses les manips en mode sans échec, en tout cas ca sent la multi infection tout ca...

[r@in | b0w]

Re.

Il vaut mieux que tu fasses les manips en mode sans échec, en tout cas ca sent la multi infection tout ca...

+1 et faire Spybot, Ad-Aware & analyse par ton antivirus.

De plus, tu n'as pas le SP2 d'installé mais on verra cela après.

Il vaut mieux remettre de l'ordre avant.

[Ask to Old Man]

Bonsoir,

Pour info en général,

C:WINDOWS.000xxxxxxxxxx

J'ai déjà eu dans mon ex-monde professionnel des machines ou les dossiers Windows
étaient installés sous cette forme. Il s'agissait souvent de machines réinstallées en réseau
selon des critères précis demandés par: soit les clients, ou d'office par les SSII intervenant pour les clients.

Ces machines étaient malgré ce "montage particulier" livrées avec leurs propre
CD original Windows, qui n'était pas déballé mais dont la clé était utilisée sur la machine.

J'ai l'impression de ne pas avoir été clair.

[r@in | b0w]

J'ai l'impression de ne pas avoir été clair.

Si, machines installées en réseau avec juste une clé de validation (le Cd n'étant pas utilisé car installation via le réseau) pour des personnes désirant une installation spécifique et compartimentée à leur convenance.

Ps: bon, il est vrai que je fais un peu d'arabe, cela aide

Non, très clair l'ami!

[Loubs]

Bon, j'ai fait pas mal de ménage (spybot, regcleaner, atf-cleaner, sophos, et plein de trucs en "fix" que j'ai oublié le nom...)

Et toujours rien, le copier/coller revient parfois ?!? c'est très aléatoire. Mais aucune avancée sinon.



PS : Pour le dossier WINDOWS.000, ça doit être ça parce qu'on a acheté le PC d'occase à une boite de dépannage informatique.

[Ask to Old Man]

PS : Pour le dossier WINDOWS.000, ça doit être ça parce qu'on a acheté le PC d'occase à une boite de dépannage informatique.

Ca se tient!! En espérant que le CD Windows original t'aie bien été fourni avec...

[Skynet]

Pas de SP2 dans ce XP PRO et encore moins de SP1...

[r@in | b0w]

Bonjour.

Pas de SP2 dans ce XP PRO et encore moins de SP1...

Tu peux préciser?

Il n'est pas possible de mettre le SP2 ni même le SP1 sur cette machine

ou tu remarques juste qu'il n'y en a aucun des deux d'installé?

[Skynet]

Il n'y a aucun des 2 d'installé.

Cette version est connue pour être instable, un peu dans le même style
que Vista, sauf que le SP1 n'a rien corrigé pour ce dernier .

[Loubs]

Tu veux dire que c'est une des toutes premières versions de XP que j'ai et que du coup c'est tout pourri ?

[H3bus]

Dit comme ça c'est encore plus clair !

En fait si tu veux ce qui pose un souci c'est que les mises à jour Windows ne sont pas la pour faire joli, mais bien pour palier à la politique de microsoft qui est "je sors mon produit pas fini et les premiers acheteurs seront les testeurs"...

Comme le produit n'est pas exempt de bugs et autres joyeusetés, les services packs et les mises à jours doivent les corriger...

Du coup, un système qui n'est pas mis à jour est beaucoup plus vulnérable, beaucoup plus difficile à diagnostiquer qu'un système à jour. Et je ne pense pas que faire les mises à jour des SP1, 2 soit vraiment un problème pour ta machine... Enfin pour ce dernier point, attend les avis d'autres personnes...

[r@in | b0w]

Bonjour.

Il n'y a aucun des 2 d'installé.

Cette version est connue pour être instable, un peu dans le même style
que Vista, sauf que le SP1 n'a rien corrigé pour ce dernier .

Tu confirmes donc bien ce que je dis depuis mon premier message

Allez Loubs, il va falloir faire une grande/grosse MAJ histoire de (re)trouver un système stable:

Direction http://windowsupdate.microsoft.com/ avec Internet Explorer bien entendu!

En bref, je répète ceci:

Windows est à mettre à jour, Service Pack 2 obligatoire pour la suite.